Working Paper IT-Compliance nach COBIT: Gegenüberstellung zwischen COBIT 4.0 und COBIT 5

Größe: px
Ab Seite anzeigen:

Download "Working Paper IT-Compliance nach COBIT: Gegenüberstellung zwischen COBIT 4.0 und COBIT 5"

Transkript

1 econstor Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Klotz, Michael Working Paper IT-Compliance nach COBIT: Gegenüberstellung zwischen COBIT 4.0 und COBIT 5 SIMAT Arbeitspapiere, SIMAT Stralsund Information Management Team, Fachhochschule Stralsund, No Provided in Cooperation with: Fachhochschule Stralsund, Stralsund Information Management Team (SIMAT) Suggested Citation: Klotz, Michael (2014) : IT-Compliance nach COBIT: Gegenüberstellung zwischen COBIT 4.0 und COBIT 5, SIMAT Arbeitspapiere, SIMAT Stralsund Information Management Team, Fachhochschule Stralsund, No , urn:nbn:de:0226-simat This Version is available at: Nutzungsbedingungen: Die ZBW räumt Ihnen als Nutzerin/Nutzer das unentgeltliche, räumlich unbeschränkte und zeitlich auf die Dauer des Schutzrechts beschränkte einfache Recht ein, das ausgewählte Werk im Rahmen der unter nachzulesenden vollständigen Nutzungsbedingungen zu vervielfältigen, mit denen die Nutzerin/der Nutzer sich durch die erste Nutzung einverstanden erklärt. Terms of use: The ZBW grants you, the user, the non-exclusive right to use the selected work free of charge, territorially unrestricted and within the time limit of the term of the property rights according to the terms specified at By the first use of the selected work the user agrees and declares to comply with these terms of use. zbw Leibniz-Informationszentrum Wirtschaft Leibniz Information Centre for Economics

2 SIMAT Arbeitspapiere Herausgeber: Prof. Dr. Michael Klotz SIMAT AP IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5 Prof. Dr. Michael Klotz Fachhochschule Stralsund SIMAT Stralsund Information Management Team Januar 2014 ISSN X

3 Klotz, Michael: IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5. In: SIMAT Arbeitspapiere. Hrsg. von Michael Klotz. Stralsund: FH Stralsund, SIMAT Stralsund Information Management Team, 2014 (SIMAT AP, 6 (2014), 25), ISSN X Download über URN vom Server der Deutschen Nationalbibliothek: Impressum Fachhochschule Stralsund SIMAT Stralsund Information Management Team Zur Schwedenschanze Stralsund Herausgeber Prof. Dr. Michael Klotz Fachbereich Wirtschaft Zur Schwedenschanze Stralsund Autor Prof. Dr. Michael Klotz lehrt und forscht am Fachbereich Wirtschaft der FH Stralsund auf den Gebieten der Unternehmensorganisation und des Informationsmanagements. Er ist u. a. Wissenschaftlicher Leiter des SIMAT, regionaler Ansprechpartner der gfo Gesellschaft für Organisation e.v., Mitglied des wissenschaftlichen Beirats und Academic Advocate der ISACA sowie Mitherausgeber der Zeitschrift IT-Governance. Die SIMAT Arbeitspapiere dienen einer möglichst schnellen Verbreitung von Forschungs- und Projektergebnissen des SIMAT. Die Beiträge liegen jedoch in der alleinigen Verantwortung der Autoren und stellen nicht notwendigerweise die Meinung der FH Stralsund bzw. des SIMAT dar.

4 IT-Compliance nach COBIT Gegenüberstellung von COBIT 4.0 und COBIT 5 Prof. Dr. Michael Klotz 1 Zusammenfassung: IT-Compliance ist mittlerweile integraler Bestandteil des IT-Managements. Die Zielsetzung der nachweislichen Konformität mit Gesetzen und anderen rechtlichen Regularien, aber auch mit Normen, Standards und internen Richtlinien ist allgemein akzeptiert. Aufgabenumfang, Methoden und Techniken der IT-Compliance sind in Theorie und Praxis derzeit jedoch noch im Fluss begriffen. Eine Orientierung kann hier das IT- Governance-Framework COBIT (Control Objectives for Information and Related Technology) bieten. Mit der aktuellen fünften Version ( COBIT 5 ) wurden grundlegende Erweiterungen und Änderungen des Frameworks vorgenommen. Inwieweit sich dies auf das IT-Compliance-Verständnis und das Management von IT-Compliance ausgewirkt hat, wird in diesem Arbeitspapier untersucht. Hierzu werden die vierte und die fünfte Version von COBIT auf ihre compliance-relevanten Aussagen hin untersucht und vergleichend gegenübergestellt. Im Ergebnis weist COBIT 4.0 in seiner Struktur zahlreiche Inkonsistenzen auf und behandelt die Compliance-Thematik eher beiläufig. Zwar ist Compliance in den Unternehmens- bzw. IT-Zielen verankert, aber die Compliance betreffenden IT-Prozesse sind im Vergleich zu COBIT 5 begrenzt. So beinhalten in COBIT 5 insgesamt 26 von 37 Prozessen Compliance-Aufgaben, während dies in COBIT 4.0 lediglich für 4 bzw. 11 von 34 IT-Prozessen gilt. Das Compliance-Verständnis von COBIT 5 umfasst sowohl die IT-Compliance als auch die IT-gestützte Corporate Compliance. Diese Unterscheidung wird bereits im Zielsystem im Rahmen der generischen Unternehmens- und der IT-Ziele abgebildet. Die für Compliance relevanten Regelwerke sind entweder externer Herkunft, wie im Falle von Gesetzen und behördlichen Vorgaben (auch Verträge werden dieser Gruppe zugeordnet), oder stammen aus dem Unternehmen selbst. Hierbei handelt es sich dann um Richtlinien, Verfahrensbeschreibungen, Hausstandards u. Ä. Durch die beträchtliche Erweiterung der Compliance-Thematik kann COBIT 5 insbesondere das Framework-Dokument in Verbindung mit dem prozessorientierten Enabler-Handbuch den mit IT-Compliance betrauten Funktionen und Personen als Orientierung und Hilfsmittel für die praktische Arbeit 1 Prof. Dr. Michael Klotz, FH Stralsund, Fachbereich Wirtschaft, Zur Schwedenschanze 15, Stralsund, SIMAT

5 dienen, beispielsweise bei der Definition von Compliance-Aufgaben, -Prozessen und -Verantwortlichkeiten oder bei der Einrichtung eines IT-Compliance-Managementsystems. Gliederung Vorwort... 5 Abbildungsverzeichnis... 6 Tabellenverzeichnis... 6 Abkürzungsverzeichnis IT-Compliance nach COBIT Überblick Compliance als Informationskriterium IT-Prozesse mit primärer oder sekundärer Complianceunterstützung Der Prozess ME 3 zur Sicherstellung von Compliance Fazit zu COBIT IT-Compliance nach COBIT Überblick über die generellen Änderungen Compliance-Verständnis von COBIT Compliance als Teil der Unternehmensziele Compliance als Zielinhalt der IT-Ziele Compliance-relevante IT-Prozesse in COBIT Compliance-Rollen und -Organisationsstrukturen Compliance im Rahmen der MEA-Domäne Compliance im Rahmen des COBIT 5 Informationsmodells Fazit zu COBIT Quellenangaben Schlüsselwörter: COBIT Informationsmodell IT-Compliance IT-Management IT-Prozesse IT-Ziele Prozessmodell Unternehmensziele JEL-Klassifikation: K12, K23, K32, K34, L15, L21, M14, M21, M42 SIMAT

6 Vorwort Das vorliegende Arbeitspapier verbindet zwei wichtige Themen des IT-Managements: IT-Compliance und COBIT 2. Zum einen stellt IT-Compliance ein mittlerweile sowohl in der Wissenschaft als auch in der Wirtschaft breit akzeptiertes Aufgabenfeld des IT-Managements dar. Dies lässt sich allein daran erkennen, dass im Akronym GRC (bzw. der auf die Informationstechnologie bezogenen Variante IT-GRC ) das C für Compliance steht. Gleichwohl sind in Theorie und Praxis Aufgabenumfang und -abgrenzung sowie Methoden und Techniken der IT-Compliance noch im Fluss begriffen. Insofern ist es zum anderen von Interesse, das derzeit führende IT- Governance-Framework COBIT (Control Objectives for Information and Related Technology) sowohl in seiner vierten als auch in seiner aktuellen fünften Version näher zu betrachten und dahingehend zu analysieren, wie das Framework die Compliance-Thematik in der IT adressiert. Hierbei wird auch immer auf die Diskussion in Wissenschaft und Fachwelt zurückgegriffen. Dennoch soll die Arbeit in erster Linie dem IT-Praktiker, der COBIT in seiner Arbeit verwendet, eine Hilfestellung und insbesondere einen schnellen Überblick über die compliance-relevanten Domänen und Prozesse von COBIT bieten. Prof. Dr. Michael Klotz 2 COBIT, ISACA und ITGI sind eingetragene Warenzeichen der Information Systems Audit and Control Association (ISACA) und des IT Governance Institute (ITGI). SIMAT

7 Abbildungsverzeichnis Abb. 1 Kontrollziele des Prozesses ME Abb. 2 Unterscheidung zwischen Governance und Management nach COBIT 5... Abb. 3 COBIT 5-Produktfamilie Abb. 4 Von den MEA-Prozessen unterstützte IT-bezogene Complianceziele Tabellenverzeichnis Tab. 1 Compliance-Inhalte der COBIT 4.0 IT-Prozesse Tab. 2 Indikatoren des Prozesses ME Tab. 3 Maturitätsmodell des Prozesses ME Tab. 4 COBIT 5 Domänen Tab. 5 Unterstützung der Unternehmensziele durch IT-Ziele Tab. 6 IT-Ziel 2 unterstützende Prozesse Tab. 7 IT-Ziel 15 unterstützende Prozesse Tab. 8 Tab. 9 Beteiligung der Compliance-Funktion an den Managementpraktiken Beteiligung des Datenschutzbeauftragten an den Managementpraktiken Tab. 10 Managementpraktiken der MEA-Prozesse Tab. 11 Zuordnung von Informationsobjekten zu IT-Zielen Tab. 12 Vergleich von COBIT 4.0 und COBIT 5 in Bezug auf Compliance SIMAT

8 Abkürzungsverzeichnis AI APO AO BAI BSC CIO CMMI COBIT DS DSB DSS EDM GRC HGB IEC IKS ISACA ISO IT ITGI ITIL KGI KPI ME MEA OLA P PAM PBRM PMBOK PO RACI S SIMAT SLA TOGAF USA Acquire and Implement Align, Plan and Organise Abgabenordnung Build, Acquire and Implement Balanced Scorecard Chief Information Officer Capability Maturity Model Integration Control Objectives for Information and Related Technology Deliver and Support Datenschutzbeauftragter Deliver, Service and Support Evaluate, Direct and Monitor Governance Risk Compliance Handelsgesetzbuch International Electrotechnical Commission Internes Kontrollsystem Information Systems Audit and Control Association International Organization for Standardization Informationstechnik / Informationstechnologie IT Governance Institute Information Technology Infrastructure Library Key Goal Indicator Key Performance Indicator Monitor and Evaluate Monitor, Evaluate and Assess Operating-Level-Agreement primär Process Assessment Model Plan, Build, Run, Monitor Project Management Body of Knowledge Plan and Organize Responsible, Accountable, Consulted, Informed sekundär Stralsund Information Management Team Service-Level-Agreement The Open Group Architecture Framework United States of America SIMAT

9 1 IT-Compliance nach COBIT Überblick Das die Unternehmens-IT adressierende Framework COBIT (Control Objectives for Information and Related Technology) wurde seit 1993 von dem in den USA ansässigen, international agierenden Prüfungsverband ISACA (Information Systems Audit and Control Association) entwickelt und erstmals im April 1996 veröffentlicht. 3,4 Die erste Version von COBIT legte dem Namen entsprechend den Schwerpunkt auf Anforderungen an die IT als so genannte Kontrollziele ( Control Objectives ) und adressierte damit in erster Linie die Arbeit von Wirtschaftsprüfungsunternehmen. Durch die Verfolgung dieser Kontrollziele, ihre regelmäßige, systematische Überprüfung und die Umsetzung entsprechender Maßnahmen sollte in Unternehmen ein effizienter und effektiver Einsatz von IT-Ressourcen (d. h. von Anwendungen, Informationen, IT-Infrastruktur und Personal) für die Erreichung von Wettbewerbsvorteilen gewährleistet werden. An diesem Anspruch hat sich bis heute nichts geändert. Im Verlauf der Jahre entwickelte sich COBIT zunehmend zu einem umfassenden Instrument für das IT-Management, mit dem die verschiedenen IT-Domänen und -Prozesse nicht nur nachgelagert geprüft, sondern proaktiv gestaltet werden können. Das zentrale COBIT-Framework wurde über die Versionen hinweg durch ergänzende Frameworks erweitert, zum einen durch das auf den Wertbeitrag von IT-Investitionen fokussierte Framework Val IT, zum anderen durch das IT-Risiko-Framework Risk IT. 5 Mittlerweile berücksichtigt COBIT auch wichtige Normen und Standards, z. B. Entstehung von COBIT Entwicklung von COBIT die sog. Information Technology Infrastructure Library 6, The Open Group Architecture Framework (TOGAF), Project Management Body of Knowledge (PMBOK) und verschiedene ISO/IEC-Normen, wie beispielsweise die ISO/IEC (für das IT-Servicemanagement), 3 Dieser Abschnitt basiert auf Klotz 2011, S Nach Gaulke 2010, S. 8. Dort findet sich auf den S eine detaillierte Darstellung der Entwicklung von COBIT. 5 Siehe ITGI 2006 und ISACA Die zugehörige Abkürzung ITIL ist ein eingetragenes Warenzeichen des Cabinet Office. SIMAT

10 die ISO/IEC (für das Risikomanagement im Rahmen eines Informationssicherheitsmanagementsystems) oder die ISO/IEC (für die IT-Governance). 7 Aufgrund seiner übergeordneten Management- und Steuerungssicht kann das COBIT-Framework als Integrator dienen, wenn ein Unternehmen die gleichzeitige Nutzung dieser Normen und Standards aufeinander abstimmen will. 8 Aus dieser umfassenden Sichtweise folgte dann auch die Positionierung von COBIT als Framework für die IT-Governance. 9 COBIT 4.0 wurde Ende 2005 veröffentlicht, im Jahr darauf auch in deutscher Übersetzung. 10 Neben dem zentralen Dokument COBIT 4.0, welches das IT-Prozessmodell beinhaltet, gibt es zahlreiche weitere COBIT- Produkte, z. B. die grundlegende Darstellung IT Governance für Geschäftsführer und Vorstände, den prüfungsorientierten IT Assurance Guide oder den die Umsetzung unterstützenden IT Governance Implementation Guide. 11 Im Folgenden konzentrieren sich die Ausführungen auf das COBIT 4.0-Dokument, in dem das IT-Governance-Modell und die IT- Prozesse beschrieben werden und das auch im Mittelpunkt der fachlichen Auseinandersetzung in Theorie und Praxis steht. Auf die sonstigen COBIT- Produkte wird lediglich am Rande Bezug genommen. Kern von COBIT 4.0 ist das Domänen- und Prozessmodell, das aus insgesamt 34 IT-Prozessen in folgende vier Domänen besteht: Planung und Organisation (engl. Plan and Organize PO); Beschaffung und Implementierung (engl. Acquire and Implement AI); Betrieb und Unterstützung (engl. Deliver and Support DS); Überwachung und Bewertung (engl. Monitor and Evaluate ME). COBIT als Integrator COBIT 4.0 COBIT-Domänen Eine aktuelle Auflistung der Normen und Standards, die von COBIT integriert werden, findet sich in ISACA 2012a, S. 47. Vgl. ITGI 2005, S Gleichwohl richtet sich in Praxis und Wissenschaft der Fokus nach wie vor auf die Kontrollaspekte von COBIT, vgl. bspw. Martens u. a. 2010, Sowa Böhm u. a. sehen in der Herkunft aus dem Prüfungsbereich die Chance, dass COBIT in der Lage dazu sein kann, konfligierende Anforderungen aus Geschäfts- und Compliance-Orientierung in einem zeitgemäßen IT-Management zu vereinen, Böhm u. a. 2009, S. 12f. Mitte 2007 folgte die überarbeitete Version 4.1, die jedoch nicht mehr ins Deutsche übersetzt wurde. Zur besseren Nachvollziehbarkeit beziehen sich die weiteren Ausführungen auf die deutsche Version COBIT 4.0. Siehe ITGI 2003, ITGI 2007a und ITGI 2007b. SIMAT

11 Für jeden Prozess beinhaltet eine Prozessbeschreibung die von diesem IT- Prozess unterstützten Unternehmensziele und ein übergeordnetes Kontrollziel, das in 3 bis 15 detaillierte Kontrollziele in Form von normativen Aussagen untergliedert wird. Insgesamt enthalten die Prozessbeschreibungen 210 Kontrollziele, die unabhängig sowohl vom informations- und kommunikationstechnischen als auch vom geschäftlichen Umfeld (Branche, Unternehmensgröße, Organisationsstruktur etc.) sind. 12 COBIT 4.0 berücksichtigt die Compliance-Thematik in verschiedener Hinsicht: Kontrollziele Compliance in COBIT 4.0 Um die Unterstützung der Unternehmensziele durch die IT zu verdeutlichen, verwendet COBIT 4.0 ein Modell generischer Unternehmensziele, in dem zwei von zwanzig Unternehmenszielen strukturiert nach der Systematik einer Balanced Scorecard (BSC) die Compliance des Unternehmens adressieren. Zum einen ist dies das Ziel Compliance mit Gesetzen und Regulativen (Ziel Nr. 14), zum anderen das Ziel Compliance mit internen Regelungen (Ziel Nr. 16). Beide Ziele sind Bestandteil der internen BSC-Perspektive. 13 Weiterhin definiert COBIT 4.0 insgesamt 28 generische IT-Zielsetzungen, die durch die Ausführung der IT-Prozesse erreicht werden. Eine dieser Zielsetzungen ist das IT-Ziel Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher (Ziel Nr. 27). Dieses unterstützt gemeinsam mit sechs weiteren IT-Zielsetzungen die Erreichung des o. g. Unternehmensziels in Bezug auf Compliance mit Gesetzen und Regulativen. 14 Das compliance-bezogene IT-Ziel wiederum wird von vier IT- Prozessen unterstützt, drei ME-Prozessen und einem DS-Prozess Vgl. Gaulke 2010, S. 11. Vgl. ITGI 2005, S Das Unternehmensziel in Bezug auf Compliance mit internen Regelungen wird jedoch nach der Kreuztabelle im Anhang I zu COBIT 4.0 nicht vom IT-Complianceziel unterstützt (siehe ebd., S. 190), obwohl häufig interne Regelungen dazu dienen, externe Vorgaben umzusetzen. Dies ist ein erstes Beispiel für die häufig anzutreffende systematische Inkonsistenz von COBIT 4.0. Nach ebd., S Bei dem IT-Prozess der Domäne Deliver and Support handelt es sich um den Prozess DS 11 (Manage Daten). Obwohl er dem IT-Complianceziel zugewiesen ist, ist in der zugehörigen Prozessbeschreibung das Informationskriterium Compliance nicht entsprechend markiert, siehe ebd., S Andererseits ist der Prozess ME 1 (Monitore und evaluiere IT-Performance) nicht dem IT-Complianceziel zugeordnet, obwohl dieser nach dem Informationskriterium Compliance den Prozess immerhin sekundär unterstützt (siehe ebd., S. 171) noch eine Inkonsistenz von COBIT 4.0. SIMAT

12 Eine weitere Verankerung der Compliance-Thematik findet sich bei COBIT im Rahmen des IT-Risikomanagements. Mit der Positionierung von COBIT als Framework für die IT-Governance rückt auch das Risikomanagement als wichtiges Handlungsfeld des IT-Managements in den Vordergrund. Das Verständnis für Compliance-Erfordernisse wird hierbei als notwendig erachtet, um zu einem entsprechenden Bewusstsein für Compliance-Risiken und eine diesbezügliche Risikobereitschaft zu gelangen. 16 Eine diesbezügliche Unterstützungsfunktion wird einem IT Strategy Committee zugeordnet, das der Unternehmensleitung bei der Steuerung und Überwachung der IT zur Seite steht. 17 Hinsichtlich der Verantwortlichkeit für Compliance richtet sich COBIT 4.0 explizit an interne und externe Stakeholder, die Compliance- Aufgaben wahrnehmen. Das Rollenmodell von COBIT sieht eine Rolle Compliance, Audit, Risk und Security vor, in der diejenigen Stellen, Abteilungen oder Dienstleister zusammenfasst sind, denen eine Überwachungsfunktion, aber keine operative Verantwortung in der IT obliegt. 18 Aber auch die weiteren Rollen sind in unterschiedlichem Ausmaß an der Gewährleistung von Compliance beteiligt. Compliance stellt eines von sieben Informationskriterien ( Information Criteria ) dar. Diese Informationskriterien stellen unternehmensspezifische Anforderungen dar, mit denen sich der Informationsbedarf definieren lässt. Aus der Zuordnung des Compliance-Informationskriteriums lassen sich insgesamt elf IT-Prozesse identifizieren, die für die Erreichung von Compliance relevant sind. Am umfangreichsten adressiert COBIT 4.0 das Compliance-Thema in einem seiner der 34 IT-Prozesse. So dient der Prozess ME 3 ("Stelle Compliance mit Vorgaben sicher") der COBIT-Domäne "Überwachung und Bewertung" speziell der Sicherstellung von (gesetzlicher und regulativer) Compliance Nach ITGI 2005, S. 7. Nach ITGI 2003, S. 71f. Im IT Governance Implementation Guide stellen Risk und Compliance eine eigene Stakeholdergruppe dar, deren Interessen im gesamten Einführungsprozess explizit zu berücksichtigen sind, siehe ITGI 2007a, S. 11. SIMAT

13 1.2 Compliance als Informationskriterium Informationen müssen zur Erreichung der Unternehmensziele bestimmten unternehmensspezifischen Anforderungen genügen, die in COBIT 4.0 als "Informationskriterien" (engl. information criteria) bezeichnet werden. 19 Eines der sieben aufgeführten Informationskriterien ist das Kriterium Compliance. 20 Aus der Beschreibung dieses Kriteriums ist das Complianceverständnis von COBIT 4.0 abzuleiten: Nach COBIT 4.0 umfasst Compliance die Einhaltung von Gesetzen, Regulativen und vertraglichen Vereinbarungen, die ein Geschäftsprozess zu berücksichtigen hat. Hierbei sind externe Vorschriften ebenso wie interne Richtlinien zu berücksichtigen. 21 Mit der Betonung der Geschäftsprozesse versteht COBIT IT-Compliance primär als Beitrag der IT zur Sicherstellung der Compliance von Geschäftsprozessen mithin als IT-gestützte Compliance. 22 Die Erfüllung der Informationskriterien durch die IT-Prozesse wird in jeder Prozessbeschreibung als primär (P) oder sekundär (S) markiert bzw. bei mangelnder Relevanz entfällt eine Markierung. Hierdurch sind alle IT- Prozesse zu identifizieren, die einen mehr oder minder wichtigen Beitrag zur Erreichung von Compliance leisten. Im Ergebnis zeigt sich, dass Compliance von insgesamt elf IT-Prozessen über alle vier COBIT-Domänen hinweg adressiert wird. 23 Compliance- Begriff Primäre/sekundäre Unterstützung 1.3 IT-Prozesse mit primärer oder sekundärer Complianceunterstützung Dadurch, dass jeder IT-Prozess dahingehend charakterisiert wird, welche Informationskriterien als unternehmensspezifische Anforderungen er unterstützt, kann jeder compliance-relevante IT-Prozess identifiziert werden 24. In Nach ITGI 2005, S. 14. Im Kern bestehen die Informationskriterien aus den informationsbezogenen Sicherheitsanforderungen der Vertraulichkeit, der Integrität und der Verfügbarkeit. Hinzu kommen die Kriterien Wirksamkeit, Wirtschaftlichkeit und Verlässlichkeit, vgl. ebd. Nach ebd.; vgl. Johannsen/Goeken 2010, S. 61. Zur Diskussion des Unterschieds zwischen IT-Compliance und IT-gestützter Compliance siehe Klotz/Dorn 2008, S. 9f. Die Tatsache, dass die Erreichung des compliance-bezogenen IT-Ziels von nur vier IT- Prozessen unterstützt wird, durch das Informationskriterium Compliance aber elf compliance-relevante IT-Prozesse identifiziert werden können, stellt eine weitere Inkonsistenz von COBIT 4.0 dar. Es finden sich in verschiedenen, nicht in Tabelle 1 aufgeführten IT-Prozessen jedoch weitere Compliance-Bezüge, ohne dass dies explizit durch das Informationskriterium SIMAT

14 der Prozessbeschreibung muss dann allerdings der jeweilige Compliance- Bezug durch Textstudium ermittelt werden. Tabelle 1 enthält das Ergebnis dieser Analyse für alle elf Prozesse, die für das Informationskriterium Compliance relevant sind. Notation IT-Prozess Compliance-Bezug PO 6 Kommuniziere Ziele und Richtung des Managements Im Rahmen dieses Prozesses sind Richtlinien zu erstellen, die die Nutzung der IT leiten. Hierzu ist eine IT-Kontrollumgebung einzurichten. Bestandteil dieser Richtlinien ist auch die Verpflichtung zu Compliance, die durch eine geeignete Überwachung, d. h. durch Kontrollen und Prüfungen im gesamten Unternehmen sicherzustellen ist. Tabelle 1 Compliance-Inhalte der COBIT 4.0 IT- Prozesse 25 PO 9 AI 4 AI 5 DS 1 Beurteile und manage IT-Risiken Ermögliche Betrieb und Verwendung Beschaffe IT- Ressourcen Definiere und manage Service Levels Die mangelnde Erfüllung externer Anforderungen (vor allem aus rechtlichen Vorgaben) wird als potenzielles IT-Risiko eingestuft, das es im Rahmen eines IT-Risikomanagements zu steuern gilt. Die Verantwortung für die fachliche Nutzung von Anwendungen liegt nach COBIT in der Fachabteilung bzw. beim Geschäftsprozesseigner. Diese Verantwortung richtet sich auch auf Compliance- Vorgaben, die der Geschäftsprozess einzuhalten hat und deren Einhaltung durch entsprechende Kontrollen sicherzustellen ist. In diesem Prozess sind alle diejenigen Aktivitäten compliance-relevant, die sich auf vertragliche Anforderungen richten. Dies sind vor allem die Entwicklung von IT-Beschaffungsrichtlinien, die Lieferantenauswahl, die Vertragsgestaltung und die Durchführung der Beschaffung. Hierbei stellt ein Vertragsmanagement die Compliance mit vertraglichen Vorgaben für die gesamte Unternehmens-IT nachweislich sicher. Fragen der Compliance werden im Service-Level- Management dann relevant, wenn die zu vereinbarenden Service-Level-Agreements (SLAs) oder Operating-Level-Agreements (OLAs) Compliance- Anforderungen zu berücksichtigen haben. Die entsprechenden Festlegungen sind auch Gegenstand 25 Compliance markiert wird. So soll beispielsweise auch der IT-Prozess PO 3 (Bestimme die technologische Richtung) technische und regulatorische Compliance sicherstellen, vgl. ITGI 2005, S. 41ff. Gleiches gilt für die Beschreibung der Prozesse im IT Assurance Guide, wo ebenfalls weitere Compliance-Bezüge aus Prüfungssicht hergestellt werden, für den genannten Prozess PO 3, siehe ITGI 2007b, S. 62ff. Entnommen aus Klotz 2011, S. 602f. SIMAT

15 Notation IT-Prozess Compliance-Bezug der Überwachung, des Berichtswesens und etwaiger Reviews. DS 2 DS 5 ME 1 ME 2 ME 3 ME 4 Manage Leistungen von Dritten Stelle Security von Systemen sicher Monitore und evaluiere IT- Performance Monitore und evaluiere Internal Controls Stelle Compliance mit Vorgaben sicher Sorge für IT- Governance Das Management von Drittleistungen umfasst explizit auch auf die Erfüllung von Compliance-Anforderungen durch den Lieferanten. Die Anzahl der diesbezüglichen Fälle von Non-Compliance ist ein Indikator der Leistungsmessung. Im Rahmen der IT-Sicherheit ist die Compliance von IT-Sicherheitsrichtlinien und die Umsetzung zahlreicher compliance-relevanter Einzelfragen, wie Berechtigungskonzepte, Funktionstrennungen, Dokumentationsverpflichtungen oder Sicherheitszertifizierungen, relevant. Die Leistungsüberwachung hat sich auch auf das Erreichen von Compliance zu beziehen. Hierfür sind geeignete Leistungsindikatoren zu bestimmen und in das Berichtssystem zu integieren. Ziel dieses Prozesses ist es, eine Aussage darüber zu erhalten, ob bzw. inwieweit Gesetze und Vorschriften eingehalten werden. Hierzu soll sich das interne Kontrollsystem der IT an Richtlinien und Normen orientieren. Rechtliche, regulatorische und vertragliche Anforderungen müssen durch das IT- Kontrollsystem abgedeckt sein, wobei die Kontrollen auch externe Dienstleister zu berücksichtigen haben. Dies ist der zentrale IT-Prozess, durch den insbesondere die externe Compliance mit gesetzlichen und regulativen Vorgaben sichergestellt wird. Auch dieser Governance-Prozess zielt auf die Einhaltung von Gesetzen und Vorschriften. Konkret wird gefordert, dass durch eine interne oder externe Prüfung "die Compliance der IT mit ihren Richtlinien, Standards und Verfahren sowie mit allgemein anerkannten Praktiken" 26 bestätigt wird. In Bezug auf den Grad der Unterstützung der Compliance-Anforderung durch den betreffenden IT-Prozess nimmt COBIT eine 2-stufige Differenzierung (primär, sekundär) vor. Den in der Tabelle 1 enthaltenen Prozessen wird bis auf Prozess ME 3 durchgängig eine sekundäre Bedeutung zugemessen. 26 ITGI 2005, S SIMAT

16 1.4 Der Prozess ME 3 zur Sicherstellung von Compliance Der Prozess ME 3 "Stelle Compliance mit Vorgaben sicher" (engl. Ensure Regulatory Compliance) ist der dritte Prozess der Domäne "Überwachung und Bewertung". 27 Die Prozessbezeichnung stellt gleichzeitig das übergeordnete Kontrollziel dar. Dieses wird dann erreicht, wenn eine "positive Bestätigung der Einhaltung von Gesetzen und Vorschriften vorliegt". 28 Allerdings ist eine derartige Bestätigung allein für eine Messung der Zielerreichung nicht als ausreichend anzusehen. Vielmehr sollen für die Messung der Zielerreichung folgende Indikatoren Verwendung finden: Compliance- Prozess ME 3 Kosten von Non-Compliance, z. B. Straf- und Vergleichszahlungen; durchschnittliche Zeitdauer zwischen dem Auftreten externer Compliance-Probleme und deren Lösung; Häufigkeit von Compliance-Reviews. Die Prozessbeschreibung enthält fünf Kontrollziele, die als normative Aussagen den Inhalt und den Umfang des Compliance-Managements in der IT nach COBIT 4.0 wiedergeben, vgl. Abbildung 1. Abbildung 1 Kontrollziele des Prozesses ME 3 29 COBIT 4.0 Das Kontrollziel ME 3.1 beinhaltet eine Aussage zum Umfang der zu berücksichtigenden Compliance-Anforderungen. Diese ergeben sich aus rechtlichen und sonstigen regulatorischen Vorgaben (z. B. zu Datenschutz, Urheberrecht oder Regelungen zur Gesundheit und Arbeitnehmersicherheit) Detaillierte Kontrollziele Im Folgenden nach ITGI 2005, S. 179ff. Ebd., S Nach Klotz 2011, S SIMAT

17 sowie aus Verträgen und Richtlinien. Um diesen Vorgaben in den verschiedenen IT-Aktivitäten zeitnah nachkommen und so Compliance sicherstellen zu können, ist ein entsprechender interner Prozess der Identifikation und der Umsetzung durch IT-Richtlinien, -Standards und -Verfahren erforderlich (ME 3.2). Die Einhaltung der Compliance-Anforderungen ist auf wirtschaftliche Weise kontinuierlich zu prüfen und zu beurteilen (ME 3.3). Ergebnisse sind adäquat zu berichten und gehen in die Leistungsdarstellung der IT- Funktion ein. Bei Feststellung von Compliance-Lücken sind Maßnahmen einzuleiten, vor allem in Bezug auf die Anpassung von IT-Richtlinien, -Standards und -Verfahren. Die Verantwortung hierfür wird den Prozesseignern (engl. process owner) zugeordnet (ME 3.4). Abschließend sind die Ergebnisse mit Ergebnissen anderer Unternehmensfunktionen abzustimmen und in die generelle Berichterstattung der Corporate Compliance zu integrieren (ME 3.5). 30 Die Beschreibung der einzelnen Control Objectives wird zu fünf Schlüsselaktivitäten verdichtet, die sowohl Teil des RACI-Modells als auch Grundlage der Erfolgsmessung sind: Schlüsselaktivitäten Definiere einen Prozess zur Identifikation von Anforderungen aus Gesetzen, Verträge, Richtlinien und sonstigen Regulativen und führe diesen aus; Evaluiere Compliance der IT-Aktivitäten mit IT-Richtlinien, Standards und Verfahren; Berichte die eindeutige Zusicherung, dass die IT-Aktivitäten mit IT- Richtlinien, Standards und Verfahren übereinstimmen; Liefere Input zum Angleichen der mit IT-Richtlinien, Standards und Verfahren in Reaktion auf Compliance-Erfordernisse; Integriere die IT-Berichterstattung über regulative Anforderungen mit ähnlichem Output von anderen Bereichen. 31 Im dem dem Prozess zugehörigen RACI-Modell (R = responsible, A = accountable, C = consulted, I = informed) wird die Rechenschaftspflicht (A) in Bezug auf die Compliance der IT-Funktion dem Chief Information Officer (CIO) zugeordnet. Dagegen liegt die Durchführungsverantwortung (R) sowohl beim CIO als auch bei den Mitgliedern der Führungsebene Raci-Modell Vgl. ITGI 2005, S Ebd. SIMAT

18 unterhalb des CIO, d. h. bei den Leitungen für IT-Betrieb, -Entwicklung und -Administration, ebenso beim IT-Chefarchitekt sowie bei den complianceaffinen Stellen mit Kontroll- und Berichtsverantwortung (Corporate Compliance, Audit, Risiko und Sicherheit). Jeder IT-Prozess hat zur Erfüllung der unternehmensspezifischen Anforderungen beizutragen, gemessen durch so genannte "Key Goal Indicators" (KGI). Diese Messung beinhaltet auch die Bestätigung der Compliance der unterstützten Geschäftsprozesse. 32 Generell wird zwischen Leistungs- und Zielindikatoren unterschieden. Der Leistungsindikator (Key Performance Indicator KPI) misst das Erreichen der Aktivitätsziele, die beiden Zielindikatoren (Key Goal Indicator KGI und IT Key Goal Indicator) messen das Erreichen der Prozessziele bzw. der IT-Ziele. Tabelle 2 beinhaltet die verschiedenen Indikatoren. Indikatoren für Compliance Key Performance Indicators Key Goal Indicators IT Key Goal Indicators Tabelle 2 Indikatoren des Prozesses ME 3 33 Durchschnittliche Zeitspanne zwischen Identifizierung externer Compliance-Themen und deren Lösung Durchschnittliche Zeitspanne zwischen der Veröffentlichung eines neuen Gesetzes oder einer neuen Vorschrift und der Einleitung eines Compliance- Reviews Anzahl der pro Jahr identifizierten, kritischen Non- Compliance Fälle Häufigkeit der Compliance-Reviews Kosten der IT Non- Compliance, einschließlich Vergleichen und Strafen Anzahl der Non- Compliance Fälle, die an die Geschäftsführung berichtet oder die öffentliches Aufsehen und Reaktionen hervorgerufen haben Schulungstage pro IT- Mitarbeiter pro Jahr in Bezug auf Compliance COBIT 4.0 beinhaltet als Grundlage einer Bewertung der Prozessreife ein Maturitätsmodell, das an das Reifegradmodell von CMMI (Capability Maturity Model Integration) angelehnt ist. Für ME 3 enthält Tabelle 3 die wesentlichen Merkmale des Maturitätsmodells. Maturitätsmodell Nach ITGI 2005, S. 25. Nach ebd., S SIMAT

19 Stufe 0 (nicht existent) 1 (initial) 2 (wiederholbar, aber intuitiv) 3 (definiert) 4 (gemanaged und messbar) Merkmal Bewusstsein für Compliance-Anforderungen ist nur gering ausgeprägt. Prozess zur Einhaltung von Compliance-Anforderungen ist nicht vorhanden. Bewusstsein für Compliance-Anforderungen ist vorhanden. Informelle Prozesse zur Aufrechterhaltung von Compliance im Rahmen von Projekten oder als Folge von Audits werden befolgt. Bewusstsein für externe Compliance-Anforderungen ist vorhanden und Notwendigkeit wird kommuniziert. Bereichsspezifische Compliance-Verfahren sind definiert. Wissen und Verantwortung von Einzelpersonen stehen im Vordergrund. Compliance-Schulungen erfolgen informell. Richtlinien, Verfahren und Prozesse sind entwickelt, dokumentiert und kommuniziert, werden aber nicht durchgängig angewendet. Eine Überwachung der Compliance erfolgt nur eingeschränkt. Manche Compliance-Anforderungen werden nicht erfüllt. Compliance-Schulungen werden für den Bereich der gesetzlichen und regulatorischen Vorgaben angeboten. Verständnis für Compliance und diesbezügliche Gefahren ist umfassend vorhanden. Ein formelles Compliance-Schulungsprogramm existiert. Sämtliche Mitarbeiter sind sich ihrer Compliance- Verpflichtung bewusst. Standardisierte Compliance-Prozesse zur Überwachung von Non-Compliance sind etabliert. Reviews des Umfeldes werden genutzt. Ursachen von Non-Compliance werden identifiziert und nachhaltig beseitigt. Tabelle 3 Maturitätsmodell des Prozesses ME In enger Anlehnung an Klotz 2011, S. 604f. SIMAT

20 Stufe 5 (optimiert) Merkmal Ein effektiver und effizienter Prozess zur Einhaltung externer Anforderungen ist vorhanden. Eine zentrale Compliance-Funktion, die den Compliance-Prozess steuert, ist etabliert. Wissen über externe Anforderung ist umfangreich vorhanden und wird intern kommuniziert. Das Unternehmen ist in externe Plattformen integriert und kann auf externe Anforderungen Einfluss nehmen. Der Compliance-Überwachungsprozess erfolgt systemgestützt. Ein Self-Assessment in Bezug auf externe Anforderungen ist implementiert, sodass Non-Compliance nur selten auftritt. Compliance-Schulungen müssen nur noch für neue Mitarbeiter oder bei wesentlichen Veränderungen durchgeführt werden. 1.5 Fazit zu COBIT 4.0 Grundlegend ist festzuhalten, dass COBIT 4.0 IT-Compliance in einem Umfang adressiert, der für das Publikationsjahr 2005 als durchaus umfangreich bezeichnet werden kann. 35 Das Compliance-Verständnis von COBIT 4.0 ist überwiegend das der IT-gestützten Compliance. Im Vordergrund steht hier die Frage, wie IT zur Compliance von Geschäftsprozessen beitragen kann. Dass sich Compliance-Anforderungen auch direkt an die IT richten, wird in diese Sichtweise integriert, wenn auch nur selten explizit, wie z. B. für den Datenschutz. Zudem fokussiert COBIT 4.0 die Compliance mit externen Regelwerken, also gesetzlichen, regulativen und vertraglichen Vorgaben. Das Begriffsverständnis bleibt jedoch zumindest teilweise unklar, insbesondere hinsichtlich des Umfanges von regulativen Vorgaben und der Bedeutung von Normen. Die begriffliche Unschärfe führt auf der Ebene der Unternehmens- und der IT-Ziele dazu, dass das Unternehmensziel der Compliance mit internen Regelungen nicht mit dem zentralen Compliance-Prozess ME 3 verbunden ist. Externer Fokus Inkonsistenzen im Zielsystem 35 Dass die COBIT-Perspektiven mit IT-Compliance erst noch zu ergänzen seien, wie es Bäumöl für erforderlich zu halten scheint, ist insofern nicht ganz nachvollziehbar, vgl. Baumöl 2012, S. 11. SIMAT

IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5

IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5 SIMAT Arbeitspapiere Herausgeber: Prof. Dr. Michael Klotz SIMAT AP 06-14-025 IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5 Prof. Dr. Michael Klotz Fachhochschule Stralsund SIMAT

Mehr

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke Markus Gaulke Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT 2., aktualisierte und überarbeitete Auflage dpunkt.verlag 1 Einleitung 1 Teill COBIT verstehen 5 2 Entwicklung

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Research Report Kritische Darstellung der theoretischen Grundlagen zum Bildungscontrolling bei verhaltensorientierten Personalentwicklungsmaßnahmen

Research Report Kritische Darstellung der theoretischen Grundlagen zum Bildungscontrolling bei verhaltensorientierten Personalentwicklungsmaßnahmen econstor www.econstor.eu Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Pfeil,

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

IT-Governance und COBIT. DI Eberhard Binder

IT-Governance und COBIT. DI Eberhard Binder IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?

Mehr

Working Paper Gründungen und Liquidationen im Jahr 2006 in Deutschland. Working Paper, Institut für Mittelstandsforschung (IfM) Bonn, No.

Working Paper Gründungen und Liquidationen im Jahr 2006 in Deutschland. Working Paper, Institut für Mittelstandsforschung (IfM) Bonn, No. econstor www.econstor.eu Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Günterberg,

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke Die COBIT 5 Produktfamilie (Kurzvorstellung) Markus Gaulke (mgaulke@kpmg.com) COBIT 5 Produkt Familie COBIT 5 Produktfamilie COBIT 5 - Business Framework COBIT 5 Enabler Guides Enabling Processes Enabling

Mehr

Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen

Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen Bearbeitet von Stefan Beck 1. Auflage 2015. Taschenbuch. 148 S. Paperback ISBN 978 3 95934

Mehr

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl.

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl. Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT von Markus Gaulke 2., akt. u. überarb. Aufl. Praxiswissen COBIT Gaulke schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Methodische Unterstützung der Unternehmens-IT mitcobitjtil&co Mit einem Praxisbericht von Markus Böhm 2., aktualisierte und erweiterte

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Massood Salehi Vertriebsleiter der Region Süd

Massood Salehi Vertriebsleiter der Region Süd Massood Salehi Vertriebsleiter der Region Süd 1 Agenda Historie und Entstehung von COBIT Ursachen für fehlende Governance in den Unternehmen Die Stellung von COBIT im Unternehmen ITIL Sicht im Betrieb

Mehr

Provided in Cooperation with: Macroeconomic Policy Institute (IMK) at the Hans Boeckler Foundation

Provided in Cooperation with: Macroeconomic Policy Institute (IMK) at the Hans Boeckler Foundation econstor www.econstor.eu Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Zwiener,

Mehr

CISA/CISM/CGEIT und die COBIT-Zertifikate

CISA/CISM/CGEIT und die COBIT-Zertifikate INFORMATION RISK MANAGEMENT CISA/CISM/CGEIT und die COBIT-Zertifikate von Markus Gaulke Stand: Oktober 2008 ADVISORY 2004 KPMG Deutsche Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft,

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl.

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl. Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT von Markus Gaulke 2., akt. u. überarb. Aufl. Praxiswissen COBIT Gaulke schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Working Paper Ein generisches Prozessmodell zur Einführung eines IT-Risikomanagement-Prozesses

Working Paper Ein generisches Prozessmodell zur Einführung eines IT-Risikomanagement-Prozesses econstor www.econstor.eu Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Kleuker,

Mehr

Projekt-Compliance Neues Handlungsfeld des Projektmanagements. Prof. Dr. Michael Klotz. 14. gfo-regionalmeeting 19.

Projekt-Compliance Neues Handlungsfeld des Projektmanagements. Prof. Dr. Michael Klotz. 14. gfo-regionalmeeting 19. Neues Handlungsfeld des Projektmanagements Prof. Dr. Michael Klotz 4. gfo-regionalmeeting 9. Januar 20 SIMAT STRALSUND INFORMATION MANAGEMENT TEAM Gliederung. Was ist? 2. Um welche geht es? 4. Wozu das

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Messung und Bewertung von Prozessqualität Ein Baustein der Governance

Messung und Bewertung von Prozessqualität Ein Baustein der Governance Messung und Bewertung von Prozessqualität Ein Baustein der Governance Prof. Dr. Ralf Kneuper Beratung für Softwarequalitätsmanagement und Prozessverbesserung Ralf Kneuper Dipl.-Mathematiker, Univ. Bonn

Mehr

COBIT 5/ITIL-Convergence?

COBIT 5/ITIL-Convergence? IT-Tagung 2012 COBIT 5/ITIL-Convergence? Massood Salehi 1 Agenda Ursachen für den fehlenden Gorvernance in den Unternehmen Die Stellung von COBIT im Unternehmen ITIL Sicht im Betrieb Parallelen und Unterschiede

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

GRC-Modell für die IT Modul GRC-Self Assessment 1

GRC-Modell für die IT Modul GRC-Self Assessment 1 GRC-Modell für die IT Modul GRC-Self Assessment 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt ()

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH

COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH Verfasser/in: Tobias Angehrn, Michael Schubiger, Pascal Eigenmann, Gabriela Caduff Projektcoach: Christian Thiel Wirtschaftsinformatik Seminar an der FHS

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt)

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) Umfassendes Know How Ein starkes Team Pragmatische, methodengestützte Vorgehensweise OYSTER Consulting GmbH greift auf einen langjährigen weltweiten

Mehr

Spezifische organisatorische Fähigkeiten : Service-Planung Service-Spezifizierung Planung von IT-Prozessen und organisatorischen Abläufen

Spezifische organisatorische Fähigkeiten : Service-Planung Service-Spezifizierung Planung von IT-Prozessen und organisatorischen Abläufen Spezifische organisatorische Fähigkeiten : Service-Planung Service-Spezifizierung Planung von IT-Prozessen und organisatorischen Abläufen Qualitätsmanagement Anwenderunterstützung Kundenmanagement Management

Mehr

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 sverzeichnis Martin Beims IT-Service Management mit ITIL ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 Weitere Informationen oder Bestellungen unter http://www.hanser.de/978-3-446-43087-7

Mehr

2 Einführung und Grundlagen 5

2 Einführung und Grundlagen 5 xi Inhaltsübersicht 1 Einleitung 1 2 Einführung und Grundlagen 5 2.1 Die neue Rolle der IT.............................. 5 2.2 Trends und Treiber................................ 7 2.3 Geschäftsarchitektur

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

IT Governance im Zusammenspiel mit IT Audit

IT Governance im Zusammenspiel mit IT Audit IT Governance im Zusammenspiel mit IT Audit ISACA After Hours Seminar Nicola Varuolo, Internal Audit AXA AXA Gruppe 52 Millionen Kunden weltweit 79 Milliarden Euro Geschäftsvolumen 150 000 Mitarbeitende

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"!

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt Compliance von Geschäftsprozessen! von 22 10.07.2014 12:25 Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"! Bitte füllen Sie den Fragebogen in einem Durchgang aus, da ein Zwischenspeichern

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Cloud Governance in deutschen Unternehmen eine Standortbestimmung Cloud Governance in deutschen Unternehmen eine Standortbestimmung ISACA Fokus Event Meet & Explore IT Sicherheit & Cloud Aleksei Resetko, CISA, CISSP PricewaterhouseCoopers AG WPG 2015 ISACA Germany Chapter

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Optimale Prozessorganisation im IT Management

Optimale Prozessorganisation im IT Management Optimale Prozessorganisation im IT Management Was heisst optimal? Stichwort IT Governance 1 2 3 IT Governance soll die fortwährende Ausrichtung der IT an den Unternehmenszielen und Unternehmensprozessen

Mehr

Die richtigen Dinge tun

Die richtigen Dinge tun Die richtigen Dinge tun Einführung von Projekt Portfolio Management im DLR Rüdiger Süß, DLR Frankfurt, 2015 Sep. 25 Agenda DLR Theorie & Standards Definition Standards Praxis im DLR Umsetzung Erfahrungen

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Strategische Effektivität und Effizienz mitcobitjtil&co Mit einem Praxisbericht von Daniel Just und Farsin Tami dpunkt.verlag Inhaltsverzeichnis

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 ISMS bei DENIC Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 Agenda Kurzvorstellung DENIC eg ISMS bei DENIC Entwicklung des ISMS bei DENIC Risikomanagement im Bereich Information

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Informationssystemanalyse People Capability Maturity Model 6 1

Informationssystemanalyse People Capability Maturity Model 6 1 Informationssystemanalyse People Capability Maturity Model 6 1 People Capability Maturity Model Neben dem CMM, welches primär zur Verbesserung des Entwicklunsprozesses eingesetzt wird, existiert mit dem

Mehr

Übungsbeispiele für die mündliche Prüfung

Übungsbeispiele für die mündliche Prüfung Übungsbeispiele für die mündliche Prüfung Nr. Frage: 71-02m Welche Verantwortung und Befugnis hat der Beauftragte der Leitung? 5.5.2 Leitungsmitglied; sicherstellen, dass die für das Qualitätsmanagementsystem

Mehr

xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5

xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5 xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5 2.1 Die neue Rolle der IT 5 2.2 Trends und Treiber 7 2.2.1 Wertbeitrag von IT 7 2.2.2 IT-Business-Alignment 12 2.2.3 CompÜance 14 2.2.4

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr

Die RACI Matrix Ein Beitrag zum Organisations- und Projektmanagement

Die RACI Matrix Ein Beitrag zum Organisations- und Projektmanagement QUALITY APPs Applikationen für das Qualitätsmanagement Die RACI Matrix Ein Beitrag zum Organisations- und Projektmanagement Autor: Prof. Dr. Jürgen P. Bläsing Mit RACI wird im amerikanischen/englischen

Mehr

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT COMPLIANCE STANDARD: WOZU? Leitfaden/Richtlinie beim Aufbau eines Compliance Management Systems Schaffung eines State-of-the-Art

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden - Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden - Aktueller Stand 2 1. Einleitung 1.1 Ausgangssituation 1.2 Definitionen 1.3 Zielsetzung 1.4 Standards 2. Anforderungen an den QAR-IT-Prüfer

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

COMPLIANCE REPORT 2015.

COMPLIANCE REPORT 2015. RWE AG COMPLIANCE REPORT 2015. UND ORIENTIERUNG GEBEN: COMPLIANCE 2 COMPLIANCE REPORT 2015 COMPLIANCE REPORT 2015. Tätigkeitsschwerpunkt der Compliance-Organisation bei RWE ist die Korruptionsprävention.

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

PERFORMANCE MANAGEMENT

PERFORMANCE MANAGEMENT Seminar: Controlling HS Bremerhaven Roman Allenstein und Benno Buhlmann PERFORMANCE MANAGEMENT GLIEDERUNG Was ist das Performance Management Bestandteile und Theorien Aktivitäten im Performance Management

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Einführung Die DIN EN ISO 9001 erfährt in regelmäßigen Abständen -etwa alle 7 Jahreeine Überarbeitung und Anpassung der Forderungen

Mehr

Kursinformationen ITIL Zertifizierung Foundation Certificate in IT-Service Management

Kursinformationen ITIL Zertifizierung Foundation Certificate in IT-Service Management Kursinformationen ITIL Zertifizierung Foundation Certificate in IT-Service Ort: FH Bonn-Rhein-Sieg, Grantham-Allee 20, 53757 Sankt Augustin Termine: 01.03-02.03.06 täglich 9.00-17.00 Uhr Veranstalter:

Mehr

2 Entwicklung und Bedeutung von COBIT

2 Entwicklung und Bedeutung von COBIT 7 2 Entwicklung und Bedeutung von Diese Kapitel stellt die Entwicklung des -Rahmenwerks sowie der komplementierenden Rahmenwerke Val IT und Risk IT und die Rolle des internationalen Verbandes ISACA und

Mehr

Handbuch Interne Kontrollsysteme (IKS)

Handbuch Interne Kontrollsysteme (IKS) Handbuch Interne Kontrollsysteme (IKS) Steuerung und Überwachung von Unternehmen Von Dr. Oliver Bungartz ERICH SCHMIDT VERLAG Vorwort 5 Abkürzungsverzeichnis 11 Abbildungsverzeichnis 15 Tabellenverzeichnis

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Joel Hencks AeroEx 2012 1 1 Agenda Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management Management System

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet Xpert.press ITIL Das IT-Servicemanagement Framework von Peter Köhler überarbeitet ITIL Köhler schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: SAP Springer

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe -

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe - Peter Meier Die Umsetzung von Risikomanagement nach ISO 31000 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen

Mehr

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem

Mehr

IIBA Austria Chapter Meeting

IIBA Austria Chapter Meeting covalgo consulting GmbH IIBA Austria Chapter Meeting ITIL und Business Analyse 20. März 2012 Dr. Gerd Nanz 1040 Wien, Operngasse 17-21 Agenda Ein Praxisbeispiel Was ist Business Analyse? Was ist ein Service

Mehr

ISO 9001:2015 und Risikomanagement ISO/DIS 9001 (E) 08/2014

ISO 9001:2015 und Risikomanagement ISO/DIS 9001 (E) 08/2014 ISO 9001:2015 und Risikomanagement ISO/DIS 9001 (E) 08/2014 Übersicht 1. Risikomanagement - Hintergrund 2. Risikomanagement ISO 9001: 2015 3. Risikomanagement Herangehensweise 4. Risikomanagement Praxisbeispiel

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

Inhaltsverzeichnis. Inhaltsverzeichnis

Inhaltsverzeichnis. Inhaltsverzeichnis 1 Qualitätssichernde Prozesse 1 1.1 Was war die alte ISO 9000:1994?... 3 1.2 ISO 9000:2000... 4 1.3 ITIL und ISO 9000: 2000... 10 1.4 Six Sigma (6)... 12 1.4.1 Fachbegriffe unter Six Sigma... 17 1.4.2

Mehr

Article Auswahl und Steuerung externer Trainer in der betrieblichen Weiterbildung

Article Auswahl und Steuerung externer Trainer in der betrieblichen Weiterbildung econstor www.econstor.eu Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Howe, Marion

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Compliance aus organisatorischer Sicht

Compliance aus organisatorischer Sicht Compliance aus organisatorischer Sicht Prof. Dr. Michael Klotz 30. September 2008, 9:00-9:45 Uhr Potsdamer Management-Kongress Integriertes Prozess-, IT- und Compliancemanagement Neue Herausforderungen

Mehr

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT INHALT 1 Zweck und Anwendungsbereich 2 2 Begriffe / Definitionen 2 2.1 Definitionen 2 3 Zuständigkeiten 2 4 Verfahrensbeschreibung 3 4.1 Schematische Darstellung Fehler! Textmarke nicht definiert. 4.2

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr